J’ai trouvé un outil avec une interface utilisateur qui permet de restaurer les objets AD à partir du tombstone : il s’agit de ADrestore Rewrite (gratuit)

Principe du tombstone : Lorsqu’un objet est supprimé, il n’est pas vraiment enlevé de l’annuaire. L’Active Directory marque d’abord l’objet pour le supprimer (il s’agit de la mise en pierre tombale = “Tombstoned” en anglais). Cette pierre tombale est ensuite répliquée sur tous les contrôleurs de domaine.

L’objet n’est pas supprimé tant que la durée de vie de la pierre tombale n’est pas atteinte. (Utiliser ADsedit pour connaitre la durée de vie d’un tombstone).

La fonctionnalité de réanimation des Tombstone permet d’avoir une corbeille dans l’AD.

Par contre, il n’existe pas d’interfaces pour restaurer un objet, il faut pour cela créer des scripts. C’est pourquoi l’outil ADrestore rewrite est intéressant.

En effet, il permet de trouver les objets “tombstonés” via un interface conviviale

Il permet de cibler en particulier un contrôleur de domaine

D’être utilisé avec d’autres credentials (si vous n’ êtes pas Domain admin)

De réanimer les objets de type OU, utilisateurs, ordinateurs

Et de voir les attributs de l’objet

Cet outil peut être téléchargé ici

Par contre les tombstones ne peuvent restaurer que certains attributs de l’objet tel que le nom de l’objet, GUID, SID, classe, et la localisation. De plus, les objets de utilisateurs et l’appartenance aux groupes sont désactivés.

Dans ce post nous allons faire les deux types de restaurations AD

1. Restauration non autoritaire

Sur le contrôleur de domaine contoso.com, lancer les commandes

bcdedit /set safeboot disrepair
shutdown –r

Connectez-vous avec un compte qui possède les droits et lancez la commande suivante

Wbadmin get versions –backuptarget:c:

Note : c: est le lecteur où se trouve la sauvegarde

La commande vous donne alors les différentes versions de la sauvegarde

Puis, lancez la commande :

Wbadmin start sysstaterecovery –version:04/29/2009-01:00 –backuptarget :c:

Redémarrer votre serveur avec la commande suivante

Bcedit /deletevalue safeboot
Shutdown –r

2. Restauration autoritaire d’un objet

Tout d’abord, arrêtez le service Active Directory

Pour restaurer un objet prenons l'exemple de CN=user1,DC=contoso,DC=com

ntdsutil activate instance NTDS authoritative restore @@restore object “CN=user1,DC=contoso,DC=com”

Enfin, tapez quit

Lancez les commandes suivantes pour redémarrer le serveur

Bcedit /deletevalue safeboot
Shutdown -r

Fin des opérations!

Nous allons mettre à jour le 1^er DC (domain controler) Windows 2003 x86 Entreprise Edition du domaine contoso.com

Tout d’abord, vérifier que sur le serveur Windows 2003 vous avez les pré-requis matériels pour passer sur Windows 2008

(Vérifier que l’espace disque de la partition système est d’environ 16 Go, et que vous avez au moins 1Gb de RAM)

1. Augmenter le niveau fonctionnel de l’annuaire d’entreprise

Aller dans Démarrer >> programmes >> outils d’administrations>> Utilisateurs et ordinateurs Active Directory

Cliquer droit sur la racine du domaine >> Cliquer sur augmenter le niveau fonctionnel du domaine

Puis, sélectionner Windows Server 2003 (mode natif)

Cliquer sur Augmenter

Cliquer sur OK >> OK

Vérifier que l’opération s’est bien déroulée

Fermer

2. Préparer la base Active Directory avec le script adprep

Copier le dossier adprep depuis le DVD de Windows 2008 vers la racine du serveur

Le fichier se trouve sur X:/sources/adprep

Le serveur DEMO-DC1 est l’unique annuaire d’entreprise pour ce domaine, les étapes de préparation de la base sont à faire une seule fois dans le domaine. Dans un domaine avec plusieurs DC la réplication multi-maitre permet de répercuter nativement la mise à jour de la base AD.

3. Mettre à jour les informations de la forêt

Cette commande doit être exécutée sur le contrôleur de rôle de schéma. (Dans notre exemple tous les rôles sont hébergés par le serveur que je mets à jour. voir mon précédent post “Connaitre les serveurs qui hébergent les rôles FSMO” )

Taper : Démarrer >> exécuter >> Cmd >> lancer la commande adprep/ forestPrep

Voir les encadrés ci-dessous :

Taper C puis entrer et laisser le script s’exécuter

…

…

4. Mettre à jour les informations du domaine

Doit être exécuté sur le contrôleur de rôle d'infrastructure. Cette commande ne doit être exécutée que lorsque /forestPrep est terminé.

Taper : Démarrer >> exécuter >> Cmd >> lancer la commande adprep/ domainPrep

Voir l’encadré ci-dessous :

5.Mettre à jour le serveur

Maintenant que la base AD est prête, Lancer le media Windows 2008 KRMSVOL_FR_DVD >> cliquer sur Installer

Cliquer sur Ne pas obtenir les dernières mises à jour pour l’installation.

Choisir Windows Server 2008 Entreprise (installation complète) x86

Cliquez sur suivant >>

Cocher j’accepte les termes du contrat de licence >> Cliquer sur suivant

Cliquer sur Mise à niveau

Cliquer sur suivant >> la mise à jour se lance …

Pour finir, vérifiez que le DC a bien été bien migré sur Windows 2008

Voici les étapes à suivre pour créer une relation d’inter-approbations entre deux domaines demo.test (départ) et demo.lab (arrivée)

Sur le serveur de départ du domaine demo.test

Lancer la console Start / Administrative tools / Active Directory Domains and Trusts.

Sur le domaine, cliquer droit jusqu’à properties

Cliquer sur l’onglet Trusts

Cliquer sur New Trust … puis sur next.

L’assistant de créations de relations d’approbations se lance…

Cliquer sur next.

Taper le nom du domaine de départ : demo.test

Cliquer sur Next

Sélectionner Two-way

Cliquer sur Next

Sélectionner both domain pour activer l’approbation entre les deux domaines

Cliquer sur Next

Taper le mot de passe administrateur du domaine demo.test puis cliquer sur next

Dans la partie Outgoing Trust Authentication Level—Local Domain

Cocher Domain-wide authentification

Cliquer sur next.

Puis cocher Domain-wide authentification pour le domaine demo.lab

Cliquer sur next, next, next

Enfin cocher No, do not confirm the outgoing trust

Cliquer sur next > Finish

Cliquer sur OK sur le message d’avertissement

Enfin cliquer sur Finish

La relation d’inter-approbations a été créée, vérifier les paramètres puis cliquer sur OK

Dans le kit ressource technique de Windows 2003 (ici), il existe un composant additionnel Acctinfo.dll pour vous aider à  mieux gérer les stratégies de mots de passe. Cette Dll vous permet d' ajouter un nouvel onglet dans la mmc Utilisateur et ordinateurs Active directory.

Parmi les informations intéressantes fournie par cette extension, vous avez :

1. La date de modification du mot de passe de l' utilisateur
2. La date d' expiration de l' utilisateur
3. La date et l' heure de la dernière ouverture et fermeture de session réseau
4. La valeur du SID (Security IDentifier) et du GUID (Globally Unique IDentifier) de l' objet utilisateur

Pour installer la dll , il suffit de télécharger Acctinfo.dll à partir de mon dossier public ici

De se placer sur un contrôleur de domaine

De Copier la dll dans le répertoire %SYSTEMROOT%\system32

De lancer la commande : regsvr32 %systemroot%\system32\acctinfo.dll

La Dll s' enregistre dans la base de registre du contrôleur de domaine

Au final, la fenêtre ci-dessous vous montre les propriétés de l' onglet au niveau d' un compte utilisateur

Le bouton Domain PW info permet de connaitre l' état de la stratégie de groupe s' appliquant au compte utilisateur

Le bouton Decode permet de lire l' état de l' attribut User Account Control

• Code 514 = Compte désactivé
• Code 512 = Compte normal - sans erreurs

Le bouton Set PW on site DC permet de changer le mot de passe de l' utilisateur directement sur le contrôleur de domaine du site où se situe l' utilisateur

Voici un outil de stress pour l’annuaire d’entreprise

ADTest.exe simule des transactions de client sur un serveur hôte pour évaluer les performances de votre Active Directory

L’outil est téléchargeable ici (en anglais)

Par défaut la défragmentation du fichier ntds.dit est effective toutes les 12 heures. Cette défragmentation online optimise la base AD mais pas sa taille sur la partition système.

Afin d' optimiser la taille du fichier ntds des contrôleurs de domaines, il est toujours préférable de lancer une défragmentation offline sur chaque contrôleur (cela contribue aussi aux performances globales des DC même si ce n' est pas obligatoire)

Voici les étapes pour défragmenter la base AD en mode offline

Redémarrer le DC en Mode restauration Active Directory (Tapez sur la touche F8 avant le boot du serveur).

Tapez le mot de passe de l' active directory

Lancez l' utilitaire NTDSUTIL. et tapez les commandes suivantes

C:\>ntdsutil
ntdsutil: files
file maintenance: info
file maintenance: compact to c:\dossiertemporaire
file maintenance: quit
ntdsutil: quit

Écrasez l' ancien fichier ntds.dit (C:\WINDOWS\NTDS\ntds.dit) par celui de c:\dossiertemporaire

Redémarrez le serveur.

Dans l' un des mes précédents post, je vous montrais comment restaurer un objet de l' AD en mode autoritaire à travers le service de restauration.

Un des points essentiel du mode DSRM (Directory Services Restore Mode) est de se souvenir du mot de passe de l' AD, mais souvent l' installation est tellement vieille que l' on a oublié ce mot de passe. En effet, les mots de passe peuvent être différents entre les comptes d' administrations et le compte de restauration de l' AD

Et bien, voici comment réinitialiser le mot de passe de l' active directory pour un Windows 2003:

Entrez la commande:

C:\>ntdsutil
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server dc1<-Tapez le nom du serveur sinon 'null'
Please type password for DS Restore Mode Administrator Account: ******** <-Tapez le nouveau mot de passe
Please confirm new password: ********
Reset DSRM Administrator Password: quit
ntdsutil: quit

Dans ce post je cherche à créer un grand nombre d' utilisateurs pour des tests.

Ouvrez un fichier Excel
Créez une succession de lignes user01, ..., userXX
Copiez ces lignes dans un fichier texte C:\users.txt

Ouvrez un contrôleur de domaine avec les privilèges "admins du domaine"

Dans le cas présent nous faisons une création d' utilisateurs par dsadd user

Allez dans Démarrer | Exécuter

Tapez cmd |

FOR /F %i IN (c:\users.txt) DO dsadd user "CN=%i,OU=sales,DC=contoso,DC=com" -samid %i -display "%i" -pwd 1P@ssword! -mustchpwd yes -acctexpires 42 >>c:\result.txt

Voici le résultat :

Notes:

• Préciser le chemin du fichier texte, et le chemin LDAP dans l'AD pour créer les utilisateurs dans une OU spécifique.
• Le commutateur -pwd spécifie le mot de passe et -mustchdpwd yes oblige l' utilisateur à le changer à la 1ere authentification

Il existe énormément de sous-commandes avec dsadd : {computer, contact, group, ou, quota, user} et de commutateurs {UserDN,-samID,-upn,-fn,-mi,-ln,-display,-empid,-pwd,-desc,-memberof,-office,-tel,-email,-hometel,-pager,-mobile,-fax,-iptel,-webpg,-title,-dept,-company-mgr,-hmdir,-hmdrv,-profile,-loscr,-mustchpwd,-canchgpwd,-reversiblepwd,-acctexpires,-disabled,-s|-d,-u,-p,-q,UserDN} ainsi vous pouvez un grand nombre d' objets différents en ligne de commande ou par batch.

Dans ce post , j' utilise la commande NTDSUTIL pour nettoyer les metadonnées de l' annuaire d' entreprise d' un DC qui doit être supprimé du domaine.

Lancez cmd | ntdsutil

Ensuite, Tapez ntdsutil : metadata cleanup

Tapez Connections pour initialiser la connexion

Tapez connect to server <Nom du DC> | Entrée pour vous connecter au serveur qui va servir à nettoyer l' AD

Tapez quit | Entrée pour revenir à la ligne metadata cleanup.

Ensuite, tapez select operation target

Puis, Tapez list domains | Entrée

Tapez select domain 0| Entrée ( Dans mon exemple, 0 est l' instance de mon domaine CONTOSO.COM )

Tapez list sites | Entrée

Tapez select sites 0 | Entrée ( Dans mon exemple, 0 est l' instance du site par défaut)

Tapez list servers in site | Entrée. Ensuite, tapez select server 1  (Dans mon exemple 1 "= NODE2" qui est le DC que je souhaite supprimer)

Tapez quit | Entrée pour revenir à la ligne metadata cleanup

Tapez remove selected server | Entrée

Un message d' avertissement apparaît , si vous êtes d' accord sur cette opération, cliquez sur YES pour supprimer l' objet des metadonnées!

Active Directory définit 5 rôles de maître d'opérations :

• Maître du schéma (Au niveau de la Forêt)
• Maître du nommage de domaine  (Au niveau de la Forêt)
• Maître identifieur relatif (RID) (Au niveau du domaine)
• Emulateur de contrôleur de domaine principal (PDC) (Au niveau du domaine)
• Maître d'’infrastructure (Au niveau du domaine)

Cf.http://support.microsoft.com/kb/324801/fr

Sur l' un de vos DC de votre AD tapez : netdom query fsmo

• Au niveau de la foret , si vous voulez transférer le rôle maître de schéma vous pouvez utiliser la console Schéma Active Directory

1. Activez le composant logiciel en exécutant la commande regsvr32 schmmgmt.dll
2. 
3. Ajouter dans une mmc le snapin "Schéma Active Directory" et changer le serveur hébergeant le rôle "maître de schéma"
4. 

• Si vous voulez transférer le rôle maître de nommage, vous pouvez utiliser la console Domaines et approbations Active Directory

• Enfin au niveau du domaine, si vous voulez transférer l'un des rôles PDC, RID ou infrastructure sur un autre DC, il suffit de changer de serveur à partir du composant Utilisateurs et ordinateurs Active Directory

Aujourd’hui je souhaite vous parler de l’importation de plusieurs utilisateurs dans l’annuaire d’entreprise à partir d’une feuille Excel avec la commande CSVDE (Command Separated Variable Data Exchange, présent sous Windows 2000/2003), ce qui peut être pratique pour les importations en masse.

Pour cela il faut connaître les attributs LDAP qui correspondent aux champs dans l’objet utilisateur.

Voici quelques correspondances de champs :

Pour connaître tous les noms d’attributs LDAP sur un objet ( user, contact, computer,OU etc.)
Il suffit de lancer la commande adsiedit.msc | Domain | Properties et de vérifier les attributs associés aux objets.
A noter que les  attributs LDAP sont sensibles à la casse

Les bonnes pratiques imposent toujours de sauvegarder l’Active Directory avant toutes modifications de ce dernier.
Une erreur de manipulation est si vite arrivée : La sauvegarde sera votre seul moyen de prévenir tout dommage de la base ou de pouvoir revenir en arrière. Je recommande aussi de faire vos expérimentations sur une base de test (jamais sur une base en production)

Par défaut les règles de sécurité de Windows n’autorisent pas les utilisateurs qui sont importés avec la commande CSVDE, donc pour activer vos utilisateurs dans l’AD, il faudra temporairement autoriser les mots de passe vide dans la « default domain policy ». Il suffira ensuite de réactiver la règle une fois l’importation terminée.

Gérer les mots de passe

Il nous faut d’abord autoriser temporairement le mot de passe vide dans la gpo « default policy »

Démarrer | outils d’administrations | Active Directory user and computers (ou exécuter la commande dsa.msc)

Cliquer droit sur la racine de domaine | properties | onglet « Group Policy » (ou lancer la console gpmc.msc) | Edit

Aller dans Computer Configuration | Windows Settings |Security Settings | Accounts Policies|

Password Policy et mettre le “minimum password length” à 0

Créer les objets utilisateurs

Maintenant nous allons construire la feuille Excel avec dans l’entête de colonnes les attributs LDAP

Les valeurs de champs dans cet exemple sont :

Voici un exemple de combinaisons de cellules Excel pour un fichier d’importation dynamique

·         dn : ="'"&"CN="&$D2&" "&$E2&",OU=sales,DC=contoso,DC=com"&"'"

·         mail : =$D2&"."&$E2&"@contoso.com"

·         sAMAccountName : ="CN="&GAUCHE($D2;1)&$E2

-> Cf.import2.xlsx  ( lien ici )

Importer les objets

Pour l’importation dans l' AD, l’enregistrement de la feuille Excel doit se faire au format  .csv (enregistrer sous | Autres formats | type : CSV (point virgule)

Note : Il faut quand même transformer le fichier .csv en faisant un « remplacer par »:

Les simples cotes ‘ doivent devenir des doubles cotes pour dn

'CN=rober steven,OU=sales,DC=contoso,DC=com' -> "CN=rober steven,OU=sales,DC=contoso,DC=com"
Sinon le chemin de l’objet n’est pas reconnu.

Les points virgules doivent être remplacés par des virgules

-> Exemple:  importation.csv ( lien ici )

Nous sommes prêts pour importer le fichier .csv (qui se trouve sur le disque C)

 Cliquer sur Démarrer | Exécuter | cmd

Tapez la commande csvde –i –f importation.csv

Notes : -i indique que le fichier est importé car par défaut la commande CSVDE exporte les données
-f indique le chemin du fichier, par défaut il va sur le disque c:\ donc votre fichier à pour chemin c:\importation.csv

Les utilisateurs sont crées dans l’AD, dans l’OU sales avec les informations que nous leur avons donné dans la feuille Excel .Il suffit maintenant d’activer les objets sachant que les utilisateurs devront changer de mot de passe à la prochaine connexion

Enfin n’oubliez pas de remettre le “minimum password length” dans la default GPO sur sa valeur initiale (par défaut = 7)

Pour rechercher un alias dans l' AD vous pouvez l' outil adfind

Lien : http://www.joeware.net/freetools/

Il aide a retrouver un alias ou tout autre objet dans l'active directory grâce aux attributs LDAPs

Exemple : "Je cherche l'alias SMTP un_alias_inconnu@contoso.com"

C:\>adfind  -default -f "proxyaddresses=smtp:un_alias_inconnu@contoso.com";

AdFind V01.37.00cpp Joe Richards (joe@joeware.net) June 2007

Using server: myserver.contoso.com:389

Directory: Windows Server 2003
Base DN: DC=contoso,DC=com

dn:CN=users,DC=contoso,DC=com
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: john <- et voila le résultat
>sn: Doe
>title: salesforce

>description: Contact Sales
>telephoneNumber: +33 X XX XX XX 00
>facsimileTelephoneNumber: +33 X XX XX XX 01
>distinguishedName: CN=users,DC=contoso,DC=com
>instanceType: 4
>whenCreated: 20061103170015.0Z
>whenChanged: 20080309165127.0Z
>displayName: Contact
>uSNCreated: 5516333
>uSNChanged: 7224404
>department: sales
>company: contoso.com

bonjour,

Hier j' ai eu un soucis sur la délégation de contrôle d' une OU de mon AD pour un utilisateur non-admin du domaine

Je voulais partager mon erreur avec les plus novices d' entre nous sur ce sujet ( car il s' agissait d' une erreur de débutant )

Lorsque vous déléguez un contrôle à un utilisateur il faut penser à certaines étapes indispensables : Configurer le serveur et l' ordinateur Client

Par exemple :  je souhaite déléguer une OU de l' annuaire d' entreprise

Donner les droits Administrateur local

D' abord il faut donner les droits admin local du poste à votre utilisateur non-admin ( exemple : "John Doe")

• ouvrir un mmc | add snappin ... | choisir utilisateurs et groupes locaux | OK
• A partir de cette mmc |faire :  gérer les utilisateurs locaux à partir d' un autre ordinateur ( celui du client ) exemple : CLIENT-1 ... OK
• puis cliquez droits sur poste de travail | gérer | utilisateurs locaux |groupes |administrateurs puis ajouter John Doe à partir du domaine (browse | entire network | contoso.com )
• Enfin, ne pas enregistrer cette 1ere mmc ( ici on en a pas vraiment besoin)

Créer la MMC pour la délégation

Ouvrir une nouvelle mmc

• Vous cliquez droit sur l'OU | délégation de contrôle ... vous attribuer les droits que vous souhaiter à "John Doe" ( je passe vite sur ce point car il appartient à chaque admin de configurer le compte client avec les droits qui souhaite lui donner)
• Ensuite vous vérifiez les permissions que vous avez effectivement laisser à John Doe en cliquant sur mmc | Affichage  | Montrer les sécurités avancées ...
• on re-clique droit sur l'OU | propriété | paramètres avancées | on regarde que John Doe a bien les bonnes autorisations
• c' est bon ! vous pouvez enregistrer votre mmc "AD Console.msc" sur un partage réseau qui sera a disposition du client-1, John Doe

Maintenant vous allez chercher votre i386 sur CD ou %systemdrive%:\i386 ( moi je le mets toujours sur le C ) et copier l'adminpack.msi

cette console est vide mais elle montrera les outils win2003 à disposition sur le poste client-1 ( qui est un winXP )

• on colle tout sur le partage réseau (adminpack.msi & AD console.msc)

J' oubliais !!! pour éviter que l' utilisateur puisse ajouter d'autre snap-in, il faut penser à sauvegarder la mmc en mode utilisateur et non pas auteur

• Dans la mmc : snapin mmc | options |choisir le mode utilisateur et sauvegarder : De cette manière la mmc n' est plus modifiable par le client.

(pour tous les modes utilisateurs cf. ce lien http://support.microsoft.com/kb/201341/fr )

• coté client : On se connecte sur le profil john doe et on copie la mmc à partir du chemin UNC
• L'installation d'adminpack se fait avec la commande : msiexec /i adminpak.msi ADDLOCAL=FeADTools /qb
• De cette façon seul le pack "active directory users and computers" sera installé

Les autres options pour extraire d'autres outils de l'adminpack sont : FeRRASConsole = Routing and Remote Access , FeDHCPConsole = DHCP , FeDNSConsole = DNS , FeDFSConsole = Distributed File System , FeWINSConsole = WINS , FeTAPIConsole = Telephony , FeACSConsole = QoS Admission Control, FeCERTConsole = Certification Authority , FeClusterConsole = Cluster Administrator , FeCMAKConsole = Connection , Manager Administration Kit , FeIASConsole =Internet Authentication Service , FeIISConsole = Internet Information Services , FeRSConsole =Remote Storage, FeTSClientConsole = Terminal Services Client , FeTSMgrConsole = Terminal Services Manager

Maintenant le client john doe peut ouvrir la mmc "AD console.msc" et gérer l'OU ainsi que ses dépendances avec la granularité que nous avons préciser pendant la phase de configuration du compte.